Befolgen der neuen HHS-Richtlinien: Gesundheitsmarketing-Post Google Analytics

Veröffentlicht: 2023-10-26

Die Health and Human Services (HHS) haben Änderungen an den HIPAA-Richtlinien zum Online-Tracking eingeführt, was zu einer direkten Veränderung in der Art und Weise führt, wie Gesundheits- und Wellnessmarken Marketingkampagnen durchführen. Da Google Analytics nun vom Tisch ist, ist die Notwendigkeit, den Marketing-Stack schnell neu zu kalibrieren, erheblich gewachsen. In diesem sich verändernden Umfeld bietet Improvado eine maßgeschneiderte Lösung, die sicherstellt, dass Marken weiterhin auf detaillierte Marketingeinblicke zugreifen können, ohne Kompromisse bei den neuen Vorschriften eingehen zu müssen.

Was hat sich in der HIPAA-Verordnung im Jahr 2022 geändert?

Eine kürzliche Aktualisierung des Gesetzes betraf den Einsatz von Tracking-Technologien wie Google Analytics durch Unternehmen, die der HIPAA unterliegen, darunter Ärzte, Psychologen, Kliniken, Zahnärzte, Chiropraktiker, Pflegeheime, Apotheken, Krankenversicherungsgesellschaften und alle Zwischenhändler, die mit der Abwicklung von Gesundheitsleistungen befasst sind Daten. Viele Wellnessunternehmen und Heilpraktiker fallen möglicherweise auch in die Kategorie der Gesundheitsdienstleister , wenn Wellnessanbieter in Verbindung mit Gruppengesundheitsplänen arbeiten oder wenn ihre Dienstleistungen die Verarbeitung von Gesundheitsinformationen umfassen.

Nach den neuen Vorschriften ist es regulierten Unternehmen nicht gestattet, Tracking-Technologien ohne entsprechende Genehmigung oder in einer Weise zu nutzen, die zu einer unbefugten Offenlegung persönlicher Gesundheitsinformationen (PHI) führen würde.

Die HHS-Definition einer Tracking-Technologie besagt:Eine Tracking-Technologie ist ein Skript oder Code auf einer Website oder mobilen App, der dazu dient, Informationen über Benutzer zu sammeln, während diese mit der Website oder mobilen App interagieren.Nachdem die Informationen durch Tracking-Technologien von Websites oder mobilen Apps gesammelt wurden, werden sie dann von den Eigentümern der Website oder mobilen App oder von Dritten analysiert, um Erkenntnisse über die Online-Aktivitäten der Benutzer zu gewinnen.

Da sich die Gesetzgebung ausschließlich auf den Umgang mit PHI und ePHI bezieht, wirkt sich das HIPAA-Update auf verschiedene Seiten der Website unterschiedlich aus:

  • Benutzerauthentifizierte Webseiten : Auf diesen Seiten melden sich Benutzer an, bevor sie auf die Webseite zugreifen können, und Tracking-Tools können normalerweise persönliche Gesundheitsinformationen wie E-Mail, IP-Adresse, Termindaten oder sogar Diagnosen anzeigen. Es ist ein Muss, sicherzustellen, dass PHI gemäß HIPAA geschützt ist.
  • Nicht authentifizierte Webseiten : Diese Seiten sind für jedermann zugänglich. Tracking-Tools sehen hier in der Regel keine PHI, weshalb die Verwendung solcher Tracking-Technologien nicht durch die HIPAA reguliert wird. Wenn Tracking-Technologien auf nicht authentifizierten Webseiten jedoch Zugriff auf PHI haben, ist die Einhaltung von HIPAA zwingend erforderlich.
  • Mobile Anwendungen : Apps von Unternehmen, die der HIPAA-Verordnung unterliegen und Benutzerdaten erfassen, einschließlich gerätespezifischer Daten, müssen jederzeit den HIPAA-Richtlinien entsprechen.

4 Grundregeln für die HIPAA-konforme Nutzung von Tracking-Software

Aufgrund der neuen Vorschriften müssen HIPAA-Unternehmen und Anbieter von Tracking-Technologien die folgenden vier Regeln einhalten, um beim Umgang mit PHI konform zu bleiben.

Regel 1: Geben Sie Patienteninformationen nur dann an Anbieter von Tracking-Technologie weiter, wenn dies gemäß HIPAA zulässig ist.

Hinweis: Die Tatsache, dass Ihr Unternehmen Einzelpersonen in seinen Datenschutzrichtlinien, Hinweisen oder Geschäftsbedingungen über das Vorhandensein von Tracking-Technologie informiert, bedeutet nicht, dass Sie PHI gegenüber Tracking-Anbietern offenlegen dürfen.

Um Tracking-Technologie auf HIPAA-regulierten Seiten oder Anwendungen nutzen zu können, muss eine dieser drei Bedingungen erfüllt sein:

  1. Bevor ein Unternehmen PHI an einen Tracking-Anbieter weitergibt, benötigt es die eindeutige Erlaubnis eines Patienten. Die bloße Aufforderung an die Benutzer, Website-Cookies zu akzeptieren, gilt nicht als ordnungsgemäße Erlaubnis.
  2. Die Weitergabe ist durch eine bestimmte HIPAA-Regel zulässig oder ein Tracking-Anbieter ist ein Geschäftspartner Ihres Unternehmens. Siehe Regel 2.
  3. Ein Anbieter von Tracking-Technologie darf PHI nicht einfach aus den erhaltenen Informationen entfernen oder die PHI vor dem Speichern anonymisieren, wenn der Anbieter kein Geschäftspartner Ihres Unternehmens ist oder dies von HIPAA erlaubt ist.

Einfach ausgedrückt ist jede Aktion mit persönlichen Gesundheitsinformationen nur dann zulässig, wenn sie durch HIPAA erlaubt ist; wenn ein Verkäufer Ihr Geschäftspartner ist; oder wenn ein Patient Ihrem Unternehmen eine klare Einwilligung zur Verarbeitung seiner Daten gegeben hat.

Regel 2: Schließen Sie einen Business Associate Agreement (BAA) mit einem Anbieter von Tracking-Technologie ab.

Wenn ein Anbieter von Tracking-Technologie Patientendaten verarbeitet, benötigen Sie eine schriftliche Geschäftspartnervereinbarung (Business Associate Agreement, BAA) mit ihm. In dieser Vereinbarung sollte dargelegt werden, wie der Anbieter die Daten schützt und was er damit tun darf.

Zwei wichtige Hinweise:

  1. Eine Tracking-Technologie muss der Definition eines Geschäftspartners entsprechen.
  2. Wenn eine Tracking-Technologie oder ein Unternehmen das BAA nicht unterzeichnen kann/will, erfordert die Offenlegung von PHI die Genehmigung einzelner Personen.

Die HHS-Definition eines Geschäftspartners lautet wie folgt: Ein Geschäftspartner ist eine natürliche oder juristische Person, die bestimmte Funktionen oder Aktivitäten ausführt, die die Verwendung oder Offenlegung geschützter Gesundheitsinformationen im Namen einer abgedeckten juristischen Person beinhalten, oder Dienstleistungen für diese erbringt.Ein Mitglied der Belegschaft des abgedeckten Unternehmens ist kein Geschäftspartner.

Regel 3: Richten Sie Risikoanalyse- und Risikomanagementprozesse ein, die administrative, physische und technische Sicherheitsmaßnahmen umfassen.

Um sicherzustellen, dass PHI sicher sind, sollten sowohl HIPAA-abgedeckte Unternehmen als auch Tracking-Anbieter strenge Sicherheitsmaßnahmen ergreifen:

  • Verschlüsseln Sie ePHI, die an den Anbieter der Tracking-Technologie übermittelt werden.
  • Aktivieren und verwenden Sie die entsprechende Authentifizierung.
  • Richten Sie Praktiken zur Datenverwaltung ein (Zugriffskontrolle, Zugriffsprotokolle usw.).
  • Überprüfen und bewerten Sie regelmäßig die Risiken des Einsatzes von Tracking-Technologien.

Regel 4: Richten Sie ein System zur Meldung von Verstößen ein.

Wenn es aufgrund von Tracking-Technologien zu einer unbefugten Weitergabe von Patientendaten kommt, müssen Sie die betroffenen Patienten und die zuständigen Behörden benachrichtigen.

Warum ist Google Analytics nicht mehr HIPAA-konform?

Schon vor den Änderungen der Verordnung im Jahr 2022 war Google Analytics nicht sofort ein HIPAA-konformes Tool. Um die Vorschriften einzuhalten, waren viele Anpassungen und das Entfernen der personenbezogenen Daten aus den vom Benutzer eingegebenen Daten erforderlich.

Ab 2022 hat Google offen erklärt, dass Google Analytics die neuen HIPAA-Anforderungen nicht erfüllt, und empfiehlt Unternehmen, die HIPAA unterliegen, Google Analytics ausschließlich auf Seiten zu verwenden, die nicht HIPAA-abgedeckt sind. Google bietet im Zusammenhang mit seinem Dienst keine Geschäftspartnerverträge an, was gegen einen der zentralen Datensicherheitsstandards des HHS verstößt.

Lösung: HIPAA-sichere Marketinganalysen mit Improvado

Die Vorschriften zur Erhebung und Verwaltung von Patientendaten werden immer strenger, schließen die Datenauswertung jedoch nicht aus.

Improvado präsentiert seine HIPAA-konforme Marketinganalyse-Suite, einschließlich Datenmanagement-Pipeline sowie Marketingausgaben- und ROI-Analyse.

Die Improvado-Lösung bietet Gesundheitsvermarktern Antworten auf Fragen wie:

  • Welcher Kanal liefert die besten Ergebnisse?
  • Welche Marketingkampagnen oder Kanäle führen zu den meisten Patientenanfragen und Terminen?
  • Welche Marketing-Touchpoints tragen zur Patientengewinnung, -einbindung und -bindung bei?
  • Welche Lehrmaterialien auf dem Blog, Terminerinnerungen oder Wellness-Check-ins kommen beim Publikum besser an?

Die Marketinganalysen von Improvado für Gesundheitswesen und Wellness basieren auf Mixpanel, einer HIPAA-konformen Tracking-Lösung, die die Lücke, die durch den Niedergang von Google Analytics entstanden ist, vollständig füllt. Die Lösung verfolgt, wie Benutzer mit Ihren Websites und mobilen Anwendungen interagieren. Improvado verbindet diese Daten mit Informationen aus anderen Quellen, sei es ein CRM-System, ein Social-Media-Netzwerk oder eine E-Mail-Marketing-Plattform, um die gesamte Customer Journey abzubilden, Conversions präzise zuzuordnen und die Auswirkungen jedes Touchpoints auf das Umsatzwachstum zu sehen. Vermarkter können den Grad der Granularität anpassen, die Leistung über Kanäle oder geografische Regionen hinweg untersuchen, Gebotsstrategien und den kanalübergreifenden ROI analysieren – alles in einem Dashboard.

Um Selbstanalysen zu ermöglichen und Ad-hoc-Marketinganfragen zu bearbeiten, stellt Improvado den KI-Assistenten vor. Dieser Co-Pilot für Marketinganalysen ermöglicht es Marketingfachleuten im Gesundheitswesen, Leistungseinblicke zu gewinnen, ohne dass Datenanalysten erforderlich sind. Durch das Stellen von AI Assistant-Fragen in einfachem Englisch können Marketingspezialisten in kanalübergreifende Analysen eintauchen, die Budgetabstufung überwachen und ihre Daten besser verwalten.

Letztendlich verfügt Ihr Marketingteam durch den Einsatz von Improvado über eine HIPAA-konforme Lösung, um Termine zu verfolgen, die aus Social-Media-Anzeigen, E-Mail-Marketing oder bezahlten Suchkampagnen stammen, Remarketing-Kampagnen zu starten, die den HIPAA-Datenschutzbestimmungen entsprechen, und Ihre Marketingleistung kontinuierlich zu verbessern.

Wie geht Improvado mit der HIPAA-Konformität um?

Improvado ist eine HIPAA-konforme Lösung, die über ein robustes Datensicherheits-Framework verfügt, einschließlich

  • Eine solide Verschlüsselung sowohl während der Datenübertragung als auch im Ruhezustand stellt sicher, dass die Daten selbst dann unlesbar und daher für den Eindringling unbrauchbar sind, wenn sie abgefangen oder unbefugt abgerufen werden.
  • Bereitschaft zur Unterzeichnung eines Business Associate Agreement (BAA) , in dem die Verfahren und Verantwortlichkeiten zum Schutz personenbezogener Daten dargelegt werden. Der Entwurf der Vereinbarung stammt in der Regel von einem Kunden. Falls Sie jedoch Hilfe benötigen, kann Ihnen das Improvado-Team für Informationssicherheit und Datenschutz eine Vorlage zur Verfügung stellen.
  • Regelmäßige Audits und Risikobewertungen .
  • Verfahren zur Meldung von Verstößen , um Kunden umgehend über alle Vorfälle zu informieren und potenzielle Schäden zu mindern, falls es zu einem Verstoß kommt.
  • Sicheres Datenentsorgungsprotokoll zum Umgang mit Daten, sobald diese nicht mehr benötigt werden.

Mixpanel befolgt alle zuvor beschriebenen Regeln, um gemäß den überarbeiteten Vorschriften HIPAA-konform zu bleiben:

  • Mixpanel bietet ein Business Associate Agreement (BAA) an.
  • Es verfügt über integrierte Datenverwaltungsrechte, was bedeutet, dass Kontoadministratoren die Kontrolle haben, den Datenzugriff und die Offenlegung einzuschränken.
  • Die Plattform unterstützt die Datenmaskierung, das heißt, sie kann persönlich identifizierbare Informationen oder persönliche Gesundheitsdaten maskieren, indem sie diese durch eine generische Kennung ersetzt.
  • Die übertragenen Daten werden verschlüsselt, und bei ruhenden Daten werden strenge Verschlüsselungsregeln angewendet.
  • PII oder PHI können von der Übermittlung an Mixpanel von vornherein ausgeschlossen werden. Die Plattform unterstützt die Datenexportkontrolle auf Benutzerebene, was bedeutet, dass Marketinganalysten individuell definieren können, welche Daten an Mixpanel gesendet werden.
  • Mixpanel verfügt über ein System zur Meldung von Verstößen, das Kunden innerhalb von 72 Stunden per E-Mail über einen mutmaßlichen Verstoß benachrichtigt.

Improvado unterstützt Gesundheits- und Wellnessmarken bei der Umstellung auf auf Google Analytics-Daten basierende Analysen und bei der weiteren Nutzung der Möglichkeiten sicherer, aufschlussreicher und effizienter Datenanalysen, um erfolgreiche Marketingstrategien für das Gesundheitswesen voranzutreiben. Vereinbaren Sie einen Anruf, um zu besprechen, wie Improvado eine konforme und effiziente Lösung für Ihre Anforderungen bieten kann.

Suchen Sie eine HIPAA-konforme Marketinganalyselösung? Bringen Sie mit Improvado Einblicke in Gesundheitsdaten und behördliche Betreuung in Einklang.

Danke schön! Ihre Einsendung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist ein Fehler aufgetreten.